Старый вредоносный RAT для Android вернулся с новыми трюками: на что следует обратить внимание

Исследователи Sophos обнаружили новый вариант Android-шпиона PJobRAT, который теперь нацелен на пользователей из Тайваня. Этот шпион может выполнять команды оболочки и красть данные.

PJobRAT – Android Remote Access Trojan (RAT), который исчез примерно шесть лет назад, неожиданно вернулся, нацеливаясь на пользователей с, arguably, более опасными функциями.

Исследователи по кибербезопасности из команды X-Ops Sophos обнаружили новые образцы в дикой природе, отметив, что PJobRAT 2019 года мог красть SMS-сообщения, контакты телефона, информацию о устройстве и приложениях, документы и мультимедийные файлы с зараженных устройств Android. Новый вариант также может выполнять команды оболочки: «Это значительно расширяет возможности вредоносного ПО, давая злоумышленнику гораздо больший контроль над мобильными устройствами жертв», – объясняет Sophos. «Это может позволить им украсть данные – включая данные WhatsApp – из любого приложения на устройстве, получить root-доступ к самому устройству, использовать устройство жертвы для атаки и проникновения на другие системы в сети, и даже тихо удалить вредоносное ПО после того, как будут достигнуты их цели».

Вариант 2019 года в основном нацеливался на военнослужащих Индии, подделывая различные приложения для знакомств и обмена мгновенными сообщениями. Новый вариант, похоже, отказался от аспекта знакомств и сосредоточился исключительно на приложении для обмена мгновенными сообщениями.

Sophos говорит, что приложения фактически работают, и что жертвы, если они знали идентификаторы друг друга, могли даже общаться друг с другом. Что касается жертв, то злоумышленники больше не нацеливаются на индийцев, а вместо этого переключились на тайваньцев. Некоторые из приложений, обнаруженных в дикой природе, называются 'SangaalLite' (возможно, вариант с ошибкой написания 'SignalLite', приложение, использовавшееся в кампаниях 2021 года) и CChat (имитирующее легитимное приложение с тем же именем). Приложения распространялись через сайты WordPress, сказал Sophos, что предполагает, что их нельзя найти в популярных магазинах приложений. Сайты были закрыты, что означает, что кампания, вероятно, завершена, но исследователи сообщили о них в WordPress. «Таким образом, эта кампания продолжалась не менее 22 месяцев, а может быть, и два с половиной года», – говорилось. Однако, похоже, что это не была большая или успешная кампания, поскольку на нее не было направлено внимание широкой публики.